Immer mehr Nutzer von Smart-Home-Technik wollen das Licht, die Heizung oder Rollladen und Markisen von unterwegs mit ihrem Smartphone über das mobile Internet überwachen und steuern können. Daher verknüpfen inzwischen fast alle Anbieter von Smart-Home-Produkten ihre Systeme mit Internet und integrieren zudem Dienste von anderen Anbietern im Internet. Das ist zwar praktisch für die Kunden, sorgt allerdings auch dafür, dass bislang isolierte Systeme der Heimvernetzung öffentlich zugänglich und damit zunehmend interessant werden für Angriffe aus dem weltweiten Datennetz, wie Sicherheitsexperten von Trend Micro festgestellt haben.
Nach und nach werden sich nicht nur die Anwender, sondern auch die Hersteller dieser Gefahr bewusst und statten ihre Smart-Home-Systeme mit IT-Sicherheitslösungen aus, welche die Daten der Kunden und den Zugang zu den Smart-Home-Lösungen schützen.
Waren bislang Smart-Home-Vernetzungen für Cyberkriminelle aufgrund der geringen Installationszahlen eher uninteressant, scheint sich das derzeit zu ändern. In den ersten drei Monaten dieses Jahres haben die Angriffe laut Trend Micro auf die neue Welt des "Internets der Dinge" deutlich zugenommen. "Überall da, wo sich Plattformen oder Applikationen durchsetzen, schlagen die Online-Gangster zu. Da sie vorher schon mit Angriffstechniken experimentiert haben, wissen sie, welche Angriffstaktiken funktionieren", warnt Udo Schneider, Sicherheitsexperte bei Trend Micro.
Die Lücken, die Angriffe erlauben, befinden sich laut dem Unternehmen oftmals nicht im Code der zugrundeliegenden Betriebssysteme oder Schnittstellen, sondern vor allem in einem mangelhaften Design der Steuerungssoftware oder unzureichenden Sicherheitsprozessen und -praktiken. "Einfache Schutzmaßnahmen reichen längst nicht mehr aus", warnt der Trend-Micro-Experte. Es sei vielmehr ein ganzes Bündel erforderlich von Maßnahmen und Techniken zur Bedrohungs- und Spionageabwehr. Noch hätten die Hersteller der Produkte für das "Internet der Dinge" die Chance, schon am Beginn der Marktentwicklung stärker auf die Sicherheit zu achten. Sie sollten diese Chance nutzen, um ihre Netze und Produkte so wenig angreifbar wie möglich zu machen, fordert Schneider.
Immer mehr Hersteller scheinen diesen Appell zu beherzigen. Bei der Absicherung ihrer Smart-Home-Systeme konzentrieren sich die Unternehmen auf drei wesentliche Abwehrmaßnahmen: Mit Hilfe von Authentisierungsroutinen sorgen sie dafür, dass keine Fremden auf die Systeme zugreifen können. Authentisierung bedeuetet, dass das Recht einer Person oder einer Anwendung überprüft wird, bestimmte Aktionen durchzuführen. Der zweite Baustein ist der Schutz der Daten während der Übertragung, der dritte Sicherheitsmaßnahmen bei der Speicherung in den Geräten und bei Cloud-Angeboten im Internet.
"Als wir vor Jahren mit der Entwicklung unserer Funkvernetzung für das Smart Home begonnen haben, mussten wir die Sicherheitsfeatures und das Protokoll für eine sichere Übertragung der Informationen noch selbst entwickeln", sagt Holger Wellner, der bei RWE Smart Home für das Produktmanagement verantwortlich ist.
Die Geräte kommunizieren untereinander mit einem eigens für das RWE-System entwickelten sicheren, verschlüsselten Funkprotokoll. Jedes Gerät besitzt für die Herstellung der Verbindung und Authentifizierung einen eigenen Schlüssel. Inzwischen sei diese Situation komfortabler. Es gibt inzwischen Massenmarkt-Funkprotokolle, die diese Funktionen mitliefern.
Dennoch sei er froh, dass RWE damals die Investition in eine eigene Lösung nicht gescheut hätte, so Wellner. Da Cybergangster sich vor allem auf Systeme konzentrierten, mit denen auf einen Schlag eine große Zahl von Nutzern adressiert werden könne, sei die RWE-Vernetzung weniger interessant für Angriffe, betont der RWE-Manager.
Die Internetverbindung wird über das https-Protokoll aufgebaut, einer sicheren Standardverschlüsselung, die zum Beispiel auch beim WLAN zum Einsatz kommt. Um einen möglichst hohen Grad an Sicherheit zu gewährleisten müssen Partner, die wie Philips, Miele oder Buderus eigene Lösungen für die RWE-Hausvernetzung entwickeln wollen, ihre Übertragungstechnik an den Funkstandard des Energieversorgers anpassen.
Derzeit verteilt RWE Development-Kits ausschließlich an ausgewählte Unternehmen. Doch das könne sich bald ändern, sagt Wellner. Ziel sei es künftig, immer mehr Partner einzubinden, die mit eigenen Apps und Lösungen dazu beitragen, die Vielfalt der Automatisierungslösungen im Smart Home zu erweitern. Die Daten und Profile der angeschlossenen Geräte, die der Anwender selbst einstellt, werden in der Smart-Home-Zentrale im Haus des Anwenders gespeichert. Dazu gehören unter anderem Benutzerzugangsdaten, Seriennummern der Geräte sowie die konfigurierten Steuerungsparameter. Der Zugriff auf die Smart-Home-Zentrale ist passwortgeschützt. Profil- sowie Konfigurationsdaten dagegen werden in der Cloud im Internet auf dem sogenannten Smart-Home-Server von RWE gesichert. Die Übertragung der Daten erfolgt verschlüsselt.
Der Vorteil für die Anwender: Komplexe Konfigurationen mit verschiedenen Profilen bleiben mit dieser Backup-Version auch bei einem Defekt des Steuergeräts erhalten. "Was allerdings tatsächlich im Haus selbst geschaltet wird, wird nicht gesichert", erklärt Wellner. RWE hat sich die Wirksamkeit der Sicherheitsfunktionen seines Smart-Home-Systems vom TÜV-IT zertifizieren lassen. "Wir wollen damit unseren Kunden ein Signal geben, dass wir ihre Ängste ernst nehmen."
Die Sicherheitslösung des Energieversorgers hat auch bei einem Sicherheitstest von AV-Test gut abgeschnitten. Das Magdeburger Unternehmen hatte im April 2014 sieben Starter-Kits für Smart-Home-Lösungen auf ihre IT Sicherheit überprüft. Neben RWE hatten die Wettbewerber Gigaset mit ihren Lösungen Elements und die Telekom mit Qivicon gut abgeschnitten. Die beiden letztgenannten Unternehmen arbeiten mit ähnlichen Sicherheitsroutinen wie die Essener, haben aber auf Anfrage keine detaillierten Informationen zur Verfügung gestellt.
Auch andere Anbieter werben damit, dass sie ihre Systeme haben testen lassen und diese in der Lage seien, Cyberangriffe abzuwehren. Jüngstes Beispiel: der französische Hersteller von Motoren für Rollladen und Markisen Somfy. Das Unternehmen hat seine internetbasierte Haussteuerung Tahoma-Connect von dem unabhängigen IT-Sicherheitsunternehmen Syss in Tübingen testen lassen. Die Tübinger versuchten, mit Penetrationsangriffen Schwachstellen sichtbar zu machen, aber ohne Erfolg. Da es sich insgesamt "um ein sehr sicheres System" handele, habe man sich an einigen Ecken richtiggehend die "Zähne ausgebissen", berichtet der Sicherheitsdienstleister.
Die Sicherheit der Smart-Home-Lösung von Somfy basiert auf vergleichbaren Technologien wie die von RWE: Verschlüsselung bei der Datenübertragung. Es gibt einen Anmeldeprozess, bei dem sich der Nutzer mit seinem Namen registriert. "Wir arbeiten zudem mit verschlüsselten https-Verbindungen und nutzen Zertifikate. Auf diese Weise erzielen wir eine Sicherheit, wie sie auch im Online-Banking üblich ist", so ein Unternehmenssprecher von Somfy in Deutschland.
Um die Sicherheit der Produkte auf dem aktuellsten Stand zu halten, stellt Somfy regelmäßig Software-Updates, darunter auch Sicherheitsupdates zur Verfügung. "Diese werden zentral von unseren Servern auf die Geräte aufgespielt, sodass der Kunde sich um nichts kümmern muss und immer das aktuellste und sicherste Produkt besitzt", sagt Firmensprecher Dirk Geiges. Die Kunden werden jeweils per Newsletter über die Vorgänge im Voraus informiert.
Dass selbst kleinste Steuergeräte mit Kryptografie und Authentifizierungssystemen ausgestattet werden können, beweist das schweizerische Unternehmen Digitalstrom. Der Anbieter aus der Nähe von Zürich hat eine intelligente Lüsterklemme entwickelt, die er seit 2011 auf dem Markt anbietet. Mit dem kleinen Bauteil können elektrische Geräte im Haus, Taster oder Leuchten unterschiedlichster Hersteller einfach über die bestehenden Stromleitungen vernetzt und gesteuert werden.
Um die eigene Technik gegen Angriffe zu schützen, habe das Unternehmen die Steuerzentrale im Haus als auch die App auf dem Smartphone mit einer Authentifizierungsroutine aus Name und Passwort ausgestattet. Einstellungen für die Steuerung von Abläufen werden nicht im Internet gespeichert, sondern liegen verteilt auf dem Speicher der Steuerzentrale im Haus und auf den einzelnen Klemmen. Teil des Geschäftsmodells von Digitalstrom ist es, analog zur Welt der Smartphones und App-Stores in einer Cloud im Internet eine offene Plattform zur Verfügung zu stellen, über die externe Dienstleister und Entwickler eigene Ideen für einen Smart-Home-Service umsetzen können.
"Wenn dafür Informationen übertragen werden müssen, werden diese beim Transport über das Internet mit Hilfe von Kryptografie vor fremdem Zugriff geschützt", versichert der Digitalstrom-Chef Martin Vesper. Da die Software von Digitalstrom Open Source sind, könne sich grundsätzlich jeder Entwickler den Code besorgen, um eigene Anwendungen zu programmieren. "Wenn sie ihre Apps oder Services auch anderen anbieten wollen, müssen sie sich registrieren und zusichern, dass sie die Sicherheitsstandards unseres Unternehmens erfüllen werden", erläutert Vesper.
Sicherheits-Updates für die intelligente Lüsterklemme oder Steuerzentrale sowie die Apps werden noch nicht automatisch verteilt und ausgeführt. Es werde jedoch intern diskutiert, ob solche automatischen Sicherheitsupdates künftig nicht notwendig sein werden, um Kunden dadurch automatisch immer auf einem sicheren Stand zuhalten. Hans Schürmann